高校校園網私有DNS服務器架設研究

楊 林， 楊 勇

（①保山學院網絡中心，云南 保山 678000；②云南大學 網絡與信息中心，云南 昆明 650021）

0 引言

實現高校信息化，首先就需要建立計算機校園網絡，這是高校信息化開始的基礎。目前，絕大多數高校都已經建立或正在升級自己的校園網。校園網作為當今高校實現信息服務的基礎設施，是高校信息化實施的一個重要環節，也是提高自身管理水平、增強競爭力的需要。通過建設校園網，在校園網內部根據實際需要建立不同的網絡應用服務系統，實現教育教學、辦公現代化和資源的高度共享[1]。

針對校園網內如此眾多的應用，如果讓師生訪問這些服務需要通過輸入IP地址去訪問，操作起來非常不便。因為用戶較難記住抽象的IP地址，再者服務器的IP地址一旦變更，網管中心需要通知到每一位師生，工作量大。另外，針對現在大多數高校接入互聯網均采用雙線路，一條出口接入中國教育科研網，另一條出口接入其它運行商（如電信、網通等），這就帶來了一方面由于目前教育網與其它運營商之間的互聯互通效果不理想（互聯帶寬窄、出口少），校園網內師生訪問教育網的流量要遠遠小于訪問公網的流量，需要通過合理的策略路由、DNS解析來規劃不同用戶訪問不同線路資源。另一方面由于光纖難免會出現物理線路中斷等故障，造成在教育網內注冊的DNS，分配的網絡（WEB）、電子郵箱、文件傳輸控制（FTP）、視頻點播（VOD）等服務器IP無法訪問或是訪問速度慢，需要利用DNS進行合理轉發[2]。針對上述存在的兩方面問題，作為網絡管理人員，如何規劃與部署DNS域名解析系統就顯得非常重要了。

1 DNS

1.1 DNS與域名

DNS是Domain Name Service 的縮寫，它是互聯網/企業網中用于提供域名登記和域名轉換到 IP地址的一組協議和服務[3]。一個完整的域名由兩個或兩個以上部分組成，各部分之間用英文句號“.”來分隔，如域名：bsnc.cn，sina.ca.hk，bsdj.gov.us。其中第一個域名由兩部分組成，第二個域名和第三個域名由三部分組成[4]。域名的層次結構如圖1所示。

圖1 域名層次結構

1.2 功能與實現原理

DNS的主要功能是將域名（網址）轉換成不便記憶的IP地址（此轉換稱為正向解析），配置DNS的主要目的就是通過它去自動完成轉換IP地址的整個過程。DNS的體系結構決定了外網訪問校園網服務器的域名解析流程[5]。這里用一個實例來說明DNS的工作原理：

如客戶機A的域名地址是http：//bsxyyl.wlzx.bsnc.edu.cn，服務器B的域名地址是wlzx.bsnc.edu.cn.，服務器C的域名地址是bsnc.edu.cn，服務器D的域名地址是edu.cn.，服務器E是.cn，根服務器是E：。從A到E，可以把后面的看作前面的域名服務器，且每個服務器只對自己區內的機器提供服務。比如 edu.cn.為 bsnc.edu.cn.提供服務，也可能為ynnu.edu.cn.提供服務，但是不會去對ev.bsnc.edu.cn服務.，因為那需要bsnc.edu.cn提供服務。

當新增加一臺機器 G（不和 A在一個區內）要訪問 A時，它把A的名字提供給自己的域名服務器D，若這個服務器D的緩存中直接有A的IP地址，它直接就把A的IP地址返回給請求者G，若沒有它會去請求別的服務器。假設緩存中沒有A的IP，D就會去訪問E根服務器。若E中依然沒有D需要的信息，它就會告訴D，需要到E處去，并且把E的地址給D。同理，E處依然沒有，又以類似的方式處理下去。直到D找到B，這時候B發現A在自己的區內，就把A的IP地址返回給D。最后D再把A的IP給G，并且存入自己的緩存。G按照這個IP就找到了A。

2 配置DNS服務器的必要性

在建設校園網過程中，確定是否需要配置 DNS服務器是高校校園網規劃過程中很重要的一環。并不是所有的高校校園網都需要架設DNS服務器，一般認為只有在高校對DNS服務有需求時才架設[6]。

2.1 從組織機構復雜程度和學校的整體規模去考慮

如果高校組織機構較復雜，規模較大，各個系、部門有各自的網站。這時就要考慮配置DNS，以便讓各個部門有自己獨立的域名，方便師生員工對他們服務器的訪問。反之，如果內部組織機構簡單，規模小，且各系、部門還沒有獨立的網站，也沒有其它對 DNS的特殊需求，則可以考慮不用架設DNS。

2.2 從提供的網絡應用服務和服務器數量去考慮

如果校園網內提供著較多的網絡服務，如 WEB、電子郵箱、FTP、VOD等，則應考慮配置DNS。一般而言，網絡上提供的服務器數量越多，就越有必要設置DNS，這樣便于為不同服務器分配不同的域名，實現用戶方便地通過域名來訪問服務器。否則，讓用戶準確地去記住各服務器的IP地址，是一件很困難的事。

2.3 從各種應用軟件系統對DNS的要求程度去考慮

大部分應用程序對 DNS配置是沒有特別要求的，但也有例外。一些特殊的應用軟件在一定的網絡環境下，對DNS要求必須采用域名結構才能實現訪問。如有些客戶端/服務器模式的應用系統，在某種情況下必須要求Client端通過域名才可以訪問Server，此時，就需要在校園網內配置DNS服務器了。

3 DNS架設方案

3.1 傳統的解決方案

通常情況下，大多數的網絡管理人員都選擇在校園網內部部署 DNS服務器。當用戶在瀏覽器中輸入校內域名名稱時，DNS服務器將此名稱解析為與其相關的IP地址。這就產生了一個問題：當架設了校園網內網DNS，將客戶端網絡設置中的DNS設為校園網內網DNS服務器的IP地址后，此時輸入相應的校園網內部域名時，可以實現訪問，但當你輸入互域網域名時，將不能得到正確的解析。因為校園網內網的 DNS服務器中沒有互域網域名對應的記錄信息，當客戶端向DNS服務器提交DNS查詢時，服務器無法提供相應記錄給客戶，造成不能解析[7]。這表示，使用這種方法來解析校園內、外網域名，就存在只能解析校園內 DNS注冊過的域名，而無法解析外網域名。

另外，對于接入雙線路或多線路的高校而言，DNS的設置不當將形成數據訪問出口迂回曲折造成域名解析速度慢，流量只通過一條線路造成網絡帶寬負載不均衡。

3.2 改進的解決方案

針對傳統方法解析域名存在的問題，必須使用相應辦法來保證校園網內、外域名均可被解析，流量能被得到合理控制。

（1）啟用DNS轉發器

解決思路是當網絡用戶端向DNS服務器提交DNS查詢時，而服務器卻查詢不到相應記錄，就將解析要求轉發至外網的 DNS服務器去進行，這樣就可以完成域名解析，關鍵點是需要能實現DNS的轉發。將校園網內網的DNS服務器配置成能進行DNS轉發的具體操作步驟如下：

啟動DNS控制臺（“開始→管理工具→DNS”），出現如圖2所示的DNS控制臺界面。

圖2 DNS控制臺

在DNS控制臺中選中相應的DNS服務器，點擊鼠標右鍵選擇“屬性”，出現如圖3所示界面。點擊“轉發器”選項卡，在“IP地址列表框”中輸入外網DNS服務器的IP地址（如設為云南昆明鐵通公司網絡的DNS服務器IP地址211.98.72.8），單擊“添加”，將IP地址加入列表。如果有多個DNS服務器IP地址可一并加入。最后單擊“確定”完成設置。

圖3 DNS轉發器

通過上述設置，可以在內網不斷增加新的校園網內域名，不用擔心對外網的域名解析造成影響。但這種方式存在一旦外網DNS發生改變，網管就需要及時更新DNS轉發IP地址，否則容易導致更新不及時而無法訪問外網域名[8]。

（2）使用策略路由輔助DNS解析

一方面通過在校園網絡中心的核心和出口設備上配置上策略路由，實現校園網上主服務器大流量從帶寬高的出口進行轉發數據，另一方面在操作系統上配置智能解析 DNS服務器，實現主服務器與鏡像服務器共存，各自有不同的IP地址[9]。當外網用戶訪問校園網主網站時，首先訪問的是DNS服務器上通過互聯網信息服務管理程序設置的跳轉頁面，然后又通過對源IP偵測頁面的判斷，返回給用戶真正的服務器地址。下面以思科路由器設備為例配置一條策略路由：

Int f1/3

description DNS

ip add 202. 197.*. 1 255. 255. 255. 0

ip policy route-mapwww

access-list 1 permit 222. 56.127.* 192.255.255. 255

route-mapwww permit10

match ip address 4 set ip defaultnext-hop 222.56.*.*

4 結語

多出口校園網通過采用相應配置策略，充分利用轉發與第二出口鏈路的帶寬，使校園網的域名解析速度得到明顯的提高[10]。同時當第一出口中斷時，還能保證本地 DNS通過第二出口鏈路實現外部互聯網域名的解析，保障用戶對外上網訪問的正常進行。

[1] 王小平．改進校園網內網域名解析 DNS[J]．中國電腦教育報,2003(G03)：22-23.

[2] 于長虹．校園網雙線接入的 DNS應用研究[J]．洛陽師范學院學報,2009,4(02)：106-108.

[3] 于存江，李克明．WINDOWS SERVER中DNS的層次結構和名稱解析的實現[J]．長春大學學報,2008(01)：51-53.

[4] 周利利,張平,梁祖華.IPv4/IPv6過渡技術在校園網中的應用[J].通信技術,2009,42(02)：212-214.

[5] 劉建，陽璽．IPv6 DNS服務器管理機制研究[J]．通信技術, 2007,40(12)：313-315.

[6] 陳麗華．企業組網的DNS規劃[J]．電子科技,2006(08)：73-75.

[7] 李金攻，張平，陳繼光．基于NAT-PT簇的集中式動態負載均衡的研究[J]．通信技術,2009,42(04)：79-81.

[8] 李孜．雙出口校園網的 DNS解析策略與實現[J]．電腦知識與技術,2007(08)：364-366.

[9] 譚明佳．DNS技術的應用分析[J]．計算機工程與設計, 2004,25(04)：596-598.

[10] 張啟峰．多出口校園網域名解析探討[J]．通信技術, 2010,43(08)：7-8+11.